Köszönjük, hogy elküldte érdeklődését! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Köszönjük, hogy elküldte foglalását! Csapatunk egyik tagja hamarosan felveszi Önnel a kapcsolatot.
Kurzusleírás
1. és 2. foglalkozás: Az IoT architektúra alap- és haladó fogalmai a biztonság szempontjából
- Az IoT technológiák fejlődésének rövid története
- Adatmodellek az IoT rendszerekben – érzékelők, működtetők, eszközök, átjárók, kommunikációs protokollok definíciója és architektúrája
- Harmadik fél eszközei és a szállítói láncokkal kapcsolatos kockázatok
- Technológiai ökoszisztéma – eszközszállítók, átjárószállítók, elemzőszolgáltatók, platformszállítók, rendszerintegrátorok – minden szállítóval kapcsolatos kockázatok
- Edge-alapú elosztott IoT vs. felhőalapú központi IoT: Előnyök vs. kockázatelemzés
- Az IoT rendszer kezelési rétegei – Flotta menedzsment, eszköz menedzsment, érzékelők regisztrálása/törlése, Digitális Ikrek. Az engedélyezési rétegek kockázatai
- IoT kezelőrendszerek bemutatása: AWS, Microsoft Azure és egyéb flotta menedzserek
- Bevezetés a népszerű IoT kommunikációs protokollokba – Zigbee/NB-IoT/5G/LORA/Witespec – a kommunikációs protokollok rétegének sebezhetőségének áttekintése
- Az IoT teljes technológiai stackének megértése a kockázatkezelés áttekintésével
3. foglalkozás: Az IoT kockázatok és biztonsági problémák ellenőrzőlistája
- Firmware frissítés – az IoT gyenge pontja
- Az IoT kommunikációs protokollok biztonságának részletes áttekintése – Szállítási rétegek (NB-IoT, 4G, 5G, LORA, Zigbee stb.) és Alkalmazási rétegek – MQTT, Web Socket stb.
- API végpontok sebezhetősége – az IoT architektúrában előforduló összes lehetséges API listája
- Átjáró eszközök és szolgáltatások sebezhetősége
- Csatlakoztatott érzékelők – Átjáró kommunikáció sebezhetősége
- Átjáró – Szerver kommunikáció sebezhetősége
- Felhő adatbázis szolgáltatások sebezhetősége az IoT-ban
- Alkalmazási rétegek sebezhetősége
- Átjáró kezelési szolgáltatások sebezhetősége – Helyi és felhőalapú
- Naplókezelés kockázatai az edge és nem edge architektúrákban
4. foglalkozás: OSASP modell az IoT biztonság területén, Top 10 biztonsági kockázat
- I1 Biztonságtalan webes felület
- I2 Elégtelen hitelesítés/engedélyezés
- I3 Biztonságtalan hálózati szolgáltatások
- I4 Hiányzó szállítási titkosítás
- I5 Adatvédelmi aggályok
- I6 Biztonságtalan felhő felület
- I7 Biztonságtalan mobil felület
- I8 Elégtelen biztonsági konfigurálhatóság
- I9 Biztonságtalan szoftver/firmware
- I10 Gyenge fizikai biztonság
5. foglalkozás: AWS-IoT és Azure IoT biztonsági elvek áttekintése és bemutatása
- Microsoft Threat Model – STRIDE
A STRIDE modell részletei
- Biztonság eszköz és átjáró és szerver kommunikáció – Aszimmetrikus titkosítás
- X.509 tanúsítvány a nyilvános kulcs terjesztéséhez
- SAS kulcsok
- Tömeges OTA kockázatok és technikák
- API biztonság az alkalmazási portálokhoz
- Rosszindulatú eszközök deaktiválása és leválasztása a rendszerből
- AWS/Azure biztonsági elvek sebezhetősége
6. foglalkozás: Az evolváló NIST szabványok/ajánlások áttekintése az IoT területén
A NISTIR 8228 szabvány áttekintése az IoT biztonság területén – 30 pontos kockázati modell
Harmadik fél eszközök integrációja és azonosítása
- Szolgáltatás azonosítás és nyomon követés
- Hardver azonosítás és nyomon követés
- Kommunikációs munkamenet azonosítása
- Kezelési tranzakciók azonosítása és naplózása
- Naplókezelés és nyomon követés
7. foglalkozás: Firmware/Eszköz biztonságának biztosítása
Firmware hibakeresési módjának biztosítása
Hardver fizikai biztonsága
- Hardveres kriptográfia – PUF (Physically Unclonable Function) – EPROM biztonságának biztosítása
- Nyilvános PUF, PPUF
- Nano PUF
- Firmware-ben előforduló kártevők ismert osztályozása (18 család a YARA szabály szerint)
- Néhány népszerű firmware kártevő tanulmányozása – MIRAI, BrickerBot, GoScanSSH, Hydra stb.
8. foglalkozás: IoT támadások esettanulmányai
- 2016. október 21-én egy hatalmas DDoS támadás érte a Dyn DNS szervereket, és számos webes szolgáltatást leállított, köztük a Twittert. A hackerek kihasználták a webkamerák és más IoT eszközök alapértelmezett jelszavait és felhasználónevét, és a Mirai botnetet telepítették a feltört IoT eszközökre. Ezt a támadást részletesen tanulmányozzuk
- IP kamerák puffer túlcsordulásos támadásokkal feltörhetők
- Philips Hue izzókat a ZigBee link protokollon keresztül feltörték
- SQL injekciós támadások hatásosak voltak a Belkin IoT eszközök ellen
- Cross-site scripting (XSS) támadások, amelyek kihasználták a Belkin WeMo alkalmazást, és hozzáfértek az alkalmazás által elérhető adatokhoz és erőforrásokhoz
9. foglalkozás: Az elosztott IoT biztonságának biztosítása elosztott főkönyv technológiával – BlockChain és DAG (IOTA) [3 óra]
Elosztott főkönyv technológia – DAG Főkönyv, Hyper Ledger, BlockChain
PoW, PoS, Tangle – a konszenzus módszereinek összehasonlítása
- Különbség a Blockchain, DAG és Hyperledger között – működésük, teljesítményük és decentralizáltságuk összehasonlítása
- A különböző DLT rendszerek valós idejű, offline teljesítménye
- P2P hálózat, Privát és Nyilvános kulcs – alapfogalmak
- Hogyan valósul meg a főkönyv rendszer gyakorlatban – néhány kutatási architektúra áttekintése
- IOTA és TangleDLT az IoT számára
- Néhány gyakorlati alkalmazási példa az okosvárosokból, okosgépekből, okosautókból
10. foglalkozás: Az IoT biztonság legjobb gyakorlati architektúrája
- Az összes szolgáltatás nyomon követése és azonosítása az átjárókban
- Soha ne használjunk MAC címet – használjunk csomagazonosítót helyette
- Azonosítási hierarchia használata az eszközöknél – táblaazonosító, eszközazonosító és csomagazonosító
- A firmware frissítés strukturálása a peremhez és a szolgáltatásazonosítónak megfelelően
- PUF az EPROM számára
- Az IoT kezelő portálok/alkalmazások kockázatainak biztosítása két rétegű hitelesítéssel
- Az összes API biztonságának biztosítása – API tesztelés és API menedzsment definiálása
- Azonosítás és integráció ugyanazon biztonsági elvek alkalmazása a logisztikai ellátási láncban
- IoT kommunikációs protokollok frissítési sebezhetőségének minimalizálása
11. foglalkozás: IoT biztonsági politika kidolgozása a szervezet számára
- Az IoT biztonság szókincsének definiálása/Feszültségek
- A legjobb gyakorlatok javaslása a hitelesítés, azonosítás, engedélyezés területén
- Kritikus eszközök azonosítása és rangsorolása
- A peremek azonosítása és elkülönítése az alkalmazások számára
- Politika a kritikus eszközök, kritikus információk és adatvédelem biztonságának biztosításához
Követelmények
- Alapvető ismeretek az eszközökről, elektronikai rendszerekről és adatrendszerekről
- Alapvető ismeretek a szoftverek és rendszerek világában
- Alapvető statisztikai ismeretek (Excel szinten)
- A távközlési ágazatok ismerete
Összefoglaló
- Egy haladó képzési program, amely az IoT legfrissebb biztonsági állapotát mutatja be
- A firmware, middleware és IoT kommunikációs protokollok biztonságának minden aspektusát lefedi
- A kurzus 360 fokos képet nyújt az IoT területén zajló biztonsági kezdeményezésekről azok számára, akik nem mélyen ismerik az IoT szabványokat, fejlődését és jövőjét
- Mélyebb betekintés a firmware, vezeték nélküli kommunikációs protokollok, eszköz-felhő kommunikáció sebezhetőségeibe
- Több technológiai területet átfogó ismeretekkel segíti az IoT rendszerek és alkotóelemeik biztonságának megértését
- Élő bemutatók az átjárók, érzékelők és IoT alkalmazási felhők biztonsági szempontjairól
- A kurzus bemutatja a jelenlegi és javasolt NIST szabványok 30 fő kockázati szempontját az IoT biztonság területén
- Az OSWAP modell az IoT biztonság területén
- Részletes útmutató az IoT biztonsági szabványok szervezeten belüli kidolgozásához
Célközönség
Mérnökök/menedzserek/biztonsági szakemberek, akik IoT projektek fejlesztésével vagy biztonsági kockázatok felülvizsgálatával foglalkoznak.
21 Órák
Vélemények (1)
Milyen barátos volt a képző. A rugalmasság és a kérdéseim megválaszolása.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Kurzus - IoT Security
Gépi fordítás
